美國國安局網站違法使用長期性“Cookies”

　　看準消費者利用網路就其各別消費經驗進行評論的商機，不少業者紛紛提供專門作為消費評論的網路平台服務，例如美國最大評論網站yelp以及臺灣的「愛評網」等評論網站。然而，消費者若在網路上就其消費經驗對特定商家發表負面評論，難免對於商家的商譽或營業表現造成影響，因此部分商家試圖利用各種手段避免消費者於熱門評論網站中發表負面評論。最常見的手段為商家藉由其與消費者間的契約中加入「禁止負面評論約款」（Nondisparagement Clause），向發表負面評論的消費者或經營評價網站的業者主張其契約上的權利，但該作法也導致消費者與商家間的法律層出不窮。 　　較為人所知的爭議案例為，一間位於紐約市的酒店因至該酒店參加婚宴的顧客於Yelp等評論網站上留下諸多負面評價，該酒店即依據契約向使用場地舉辦婚宴的新婚夫妻， 以每一則負面評價500美元為計，收取一筆高額的賠償金。另有較特別的案例為，紐約市有一名牙醫師於其與診所病患間的契約中明訂授權約款，將任何病患可能於就診後作成的負面評價，以著作權授權的方式授予該名牙醫師，而該名牙醫師復以被授權人的身分，依據該契約向Yelp等消費評價網站主張刪除網站上針對其所營診所的相關負面評價。 　　因應愈來愈多的商家藉各種手段試圖限制消費者在熱門評價網站上發表負面的消費經驗或評論，加州議院於2014年9月正式表決通過並由該州州長簽署，於民法中增訂第1670.8條（California Civil Code §1670.8）之規定，使消費者發表消費評論之自由能夠受到更完整的保障。依據該法之規定，消費者有權對其所消費商品或服務的出賣人、出租人或其受僱人與代理人發表陳述（statement）；若任何契約禁止或限制消費者發表與其消費經驗相關評論之權利，則該契約應屬無效。總檢察長(Attorney General)以下的檢察官或個案消費者可透過民事程序向違反該法律規定者起訴，法院最高可以將行為人處以初犯2500元美金以及累犯每次5000美元的罰款。 　　馬里蘭州議會亦於2016年2月表決通過於該州《商業法》（Commercial Law）中增訂14.1325條（MD. Comm. Law gcl. §14.1325），該州法規定與上述加州州法同樣保障消費者對其消費經驗加以評論之權利，且違反該法的行為人除了將負擔1000美元及累犯每次5000元美金的罰款之外，若構成輕罪(misdemeanor)則可能被處以一年以下的拘禁，且得併科1000美元罰金。 　　除了上述二州對保障消費者消費評論的法制加以強化之外，美國國會也正在進行相關的立法工作。聯邦參議院於2015年12月表決通過《2015年消費者評論自由法》（Consumer Review Act of 2015），該法案（H.R.2110, 114th Cong. (2015-2016)）目前於聯邦眾議院的「工商業與貿易委員會」（Subcommittee on Commerce, Manufacturing, and Trade）中待審。該部聯邦法除了將使任何禁止或限制消費者以任何方法評論商品或服務的契約效力歸於無效之外，更禁止商家與消費者約定移轉任何關於消費經驗評論的智慧財產權。

　　2019年7月25日，紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」（S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act），目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於，一旦發生與資料外洩相關的安全漏洞時，能及時進行適當的通知。同時，修改紐約州現有的資料外洩通知法，擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外，如違反通知義務，將處以最高5千美元或每次（未履行通知義務）20美元 （上限25萬美元）的民事賠償。且美國司法部長（The Attorney General） 亦得以紐約人民名義，代為起訴未實施資料安全規畫的企業，並按紐約民事執行法與規則（The Civil Practice Law And Rules）第63條進行初步救濟，依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。 　　當天州長亦簽署「身份盜用預防措施和緩解服務修正案」（A.2374/S.3582），新增資料外洩安全保護措施，要求消費者信用機構，提供受安全漏洞影響的消費者「身份盜用預防措施」（Identity Theft Prevention ）與「緩解服務」（Mitigation Services），為消費者制定長期最低度的保護手段。其要求信用機構，通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結，並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效，並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。

　　2018年6月5日歐盟法院針對Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein v Wirtschaftsakademie Schleswig-Holstein GmbH訴訟進行先訴裁定，擴大解釋《資料保護指令》（Directive 95/46/EC）之「資料控制者」範圍，認為Facebook和粉絲專頁管理者皆負有保護訪客資料安全的責任。由於「資料控制者」定義在《資料保護指令》與《一般資料保護規則》（GDPR）相同，因此裁定將影響未來使用社群媒體服務和平台頁面的個資保護責任。 　　本案起因德國Schleswig-Holstein邦獨立資料保護中心要求 Wirtschaftsakademie教育服務公司在Facebook經營之粉絲專頁必須停用，其理由認為Facebook和Wirtschaftsakademie進行之Cookie資料蒐集、處理活動並未通知粉絲成員且因此從中獲利，然Wirtschaftsakademie認為並未委託Facebook處理粉絲成員個資，當局應直接對Facebook要求禁止蒐集處理。歐盟法院認為Wirtschaftsakademie使用Facebook所提供之平台從中受益，即使未實際擁有任何個資，仍被視為負共同責任（jointly responsible）的資料控制者，應依具體個案評估每個資料控制者責任程度。 　　在原《資料保護指令》並未有「資料控制者需負共同責任」之規定，本案擴大解釋資料控制者範圍，對照現行GDPR屬於第26條「共同控制者」之規範主體，然而本案將資料控制者擴張到未實際處理資料之粉絲專頁管理者，是否過於嚴格？且未來如何劃分責任與義務，皆有待觀察。

　　日本內閣下設之日本經濟再生本部(日本経済再生本部)，為實現2017年6月於「未來投資戰略2017」所提出之建立實驗資料共享體制政策，於2017年8月31日起舉辦自動駕駛官民協議會(自動走行に係る官民協議会)，邀請政府相關部門及民間專家等關係人士，檢討自動駕駛實驗結果、實驗資料之共享，以及根據民間需求進行實驗計畫之工程管理等制度的整備方向，預計於年內針對複雜的駕駛環境制定共通指標，以釐清哪些資料是應收集之實驗資料，建構自動駕駛實驗資訊共享、收集體制。自動駕駛官民協議會預計在未來幾次會議中，針對應收集之實驗資料、標準格式、體制、實驗計畫的進程管理、官民合作事項等進行討論，並將在未來投資會議中報告檢討結果，其結果將與明年度之成長戰略一同反映於「官民ITS‧構想藍圖」(官民ITS構想・ロードマップ)中。